USN-886-1 : Vulnérabilités dans Pidgin
Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 8.04 LTS : | |||
| pidgin | 1:2.4.1-1ubuntu2.8 | ||
| Ubuntu 8.10 : | |||
| pidgin | 1:2.5.2-0ubuntu1.6 | ||
| Ubuntu 9.04 : | |||
| pidgin | 1:2.5.5-1ubuntu8.5 | ||
| Ubuntu 9.10 : | |||
| pidgin | 1:2.6.2-1ubuntu7.1 | ||
Après une mise à niveau standard du système vous devrez redémarrer Pidgin pour apporter les modifications nécessaires.
Détails :
Il a été découvert que Pidgin ne gérait pas correctement certains messages de thème dans le gestionnaire de protocole IRC. Si un utilisateur était amené à se connecter à un serveur IRC malveillant, un attaquant pourrait faire planter Pidgin, entraînant un déni de service. Ce problème n’a affecté que Ubuntu 8.04 LTS, Ubuntu 8.10 et Ubuntu 9.04. (CVE-2009-2703)
Il a été découvert que Pidgin n’appliquait pas correctement le paramètre “nécessite TLS/SSL” lors de la connexion à certains serveurs Jabber anciens. Si un attaquant distant avait la possibilité de faire une attaque de l’homme du milieu, cette faille pourrait être exploitée pour visualiser des informations sensibles. Ce problème n’a affecté que Ubuntu 8.04 LTS, Ubuntu 8.10 et Ubuntu 9.04. (CVE-2009-3026)
Il a été découvert que Pidgin ne gérait pas correctement certains messages d’invite SLP dans le gestionnaire de protocole MSN. Un attaquant distant pourrait envoyer un message d’invite spécialement conçu et faire planter Pidgin, entraînant un déni de service. Ce problème n’a affecté que Ubuntu 8.04 LTS, Ubuntu 8.10 et Ubuntu 9.04. (CVE-2009-3083)
Il a été découvert que Pidgin ne gérait pas correctement certaines erreurs dans le gestionnaire de protocole XMPP. Un attaquant distant pourrait envoyer un message spécialement conçu et faire planter Pidgin, entraînant un déni de service. Ce problème n’a affecté que Ubuntu 8.10 et Ubuntu 9.04. (CVE-2009-3085)
Il a été découvert que Pidgin ne gérait pas correctement les données de listes de contacts malformées dans le gestionnaire de protocole OSCAR. Un attaquant distant pourrait envoyer des données de listes de contacts spécialement conçues et faire planter Pidgin, entraînant un déni de service. (CVE-2009-3615)
Il a été découvert que Pidgin ne gérait pas correctement les requêtes d’émoticônes personnalisées dans le gestionnaire de protocole MSN. Un attaquant distant pourrait envoyer un nom de fichier spécialement conçu dans une requête d’émoticône personnalisée et récupérer des fichiers arbitraires via une attaque par chemin d’accès malveillant. Ce problème n’a affecté que Ubuntu 8.10, Ubuntu 9.04 et Ubuntu 9.10. (CVE-2010-0013)
Pidgin pour Ubuntu 8.04 LTS a également été mis à jour pour corriger des problèmes de connexion avec le protocole MSN. USN-675-1 et USN-781-1 ont fourni des paquets mis à jour pour Pidgin pour corriger plusieurs failles de sécurité dans Ubuntu 8.04 LTS. Les correctifs pour corriger CVE-2008-2955 et CVE-2009-1376 étaient incomplets. Cette mise à jour corrige le problème.
Détails de la notification initiale :
Il a été découvert que Pidgin ne gérait pas correctement les transferts de fichiers contenant un nom de fichier long et des caractères spéciaux dans le gestionnaire de protocole MSN. Un attaquant distant pourrait envoyer un nom de fichier spécialement conçu dans une requête de transfert de fichier et faire planter Pidgin, entraînant un déni de service. (CVE-2008-2955)
Il a été découvert que Pidgin ne gérait pas correctement certains messages malformés dans le gestionnaire de protocole MSN. Un attaquant distant pourrait envoyer un message spécialement conçu et potentiellement exécuter du code arbitraire avec les privilèges utilisateur. (CVE-2009-1376)
Source : USN-886-1: Pidgin vulnerabilities
